TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN KHOA ĐIỆN TỬ - VIỄN THÔNG  BÁO CÁO ĐỒ ÁN SYSTEM HACKING GVHD: Th.S Nguyễn Đình Lãm NHÓM 7: Nguyễn Đình Linh 1320103 Nguyễn Văn Huy 1320073 Nguyễn Nhật Long 1320107 Nguyễn Minh Kha 1320082 Phan Hữu Hậu 1320059 Tp.Hồ Chí Minh,ngày 13 tháng năm 2017 MỤC LỤC 2.2 Bẻ khóa mật (Cracking passwords) 2.3 Leo Thang Đặc Quyền (Escalating privileges) 2.4 Thực Thi Ứng Dụng (excuting applications) 2.5 Che dấu tập tin (Hiding files) 2.6 Xóa Dấu Vết (Clear Track) CHƯƠNG : TỔNG KẾT TÀI LIỆU THAM KHẢO LỜI MỞ ĐẦU Khi tốc độ ứng dụng công nghệ thông tin phổ cập internet đẩy nhanh, đời sống thực ngày gần phụ thuộc vào đời sống ảo mạng vấn đề an ninh mạng cần coi trọng đặt tầm an ninh quốc gia Vấn đề an ninh mạng trở nên hữu, ảnh hưởng sâu rộng, tác động đến vấn đề kinh tế trị an ninh quốc gia Đảm bảo an ninh mạng vấn đề sống quốc gia giới Tình hình an ninh mạng nước giới năm 2011 năm liên tiếp dự báo tiếp tục diễn biến phức tạp với hàng loạt trang web bị công, chiếm đoạt tên miền, thông tin, liệu cá nhân bị đánh cắp, biến thể vi rút xuất hiện…Vì vậy, việc nắm bắt lợi công nghệ thông tin, đồng thời hạn chế tối đa nguy rủi ro an toàn thông tin chìa khóa để đưa công nghệ thông tin thực trở thành hạ tầng, động lực cho phát triển kinh tế xã hội bền vững Chính yếu tố nên nhóm chúng em làm đề tài System Hacking-Tìm hiểu Tấn Công Hệ Thống Bài báo cáo giới thiệu tổng quát phương pháp mà Hacker sử dụng để công xâm nhập khai thác vào hệ thống hệ điều hành hệ điều hành windows,hệ điều hành phổ biến Việt Nam, từ giúp nắm rõ cách thức mà Hacker sử dụng đưa giải pháp giúp cho người dùng an toàn thông tin, bảo mật thời đại Internet ngày CHƯƠNG 1: GIỚI THIỆU 1.1 System Hacking System hacking bao gồm kỹ thuật lấy username, password dựa vào phần mềm cài hệ thống tính dễ cài đặt chạy dịch vụ từ xa hệ điều hành Windows Nâng quyền hệ thống, sử dụng keyloger để lấy thông tin, xóa log file hệ thống Một xâm nhập vào hệ thống, Hacker thực thứ máy tính đó, gây hậu vô nghiêm trọng cho cá nhân, tổ chức 1.2 Các lỗ hổng thường khai thác hệ điều hành Windows Phần mềm máy tính ngày vô phức tạp, bao gồm hàng ngàn dòng mã Phần mềm viết người, nên chẳng có lạ có chứa lỗi lập trình, biết đến với tên gọi lỗ hổng Những lỗ hổng Hacker sử dụng để xâm nhập vào hệ thống, tác giả đọan mã độc dùng để khởi động chương trình họ cách tự động máy tính bạn Hiện lỗ hổng bảo mật phát nhiều hệ điều hành, Web Server hay phần mềm khác, Và hãng sản xuất cập nhật lỗ hổng đưa phiên sau vá lại lỗ hổng phiên trước Do đó, người sử dụng phải cập nhật thông tin nâng cấp phiên cũ mà sử dụng không Hacker lợi dụng điều để công vào hệ thống Thông thường, forum hãng tiếng cập nhật lỗ hổng bảo mật việc khai thác lỗ hổng tùy người Microsoft có cải tiến an ninh vượt trội qua phiên hệ điều hành Windows Tuy nhiên, thật mối đe dọa mạng ngày phát triển nhanh so với chu trình cập nhật đổi hệ điều hành Microsoft Tội phạm mạng thường sử dụng lỗ hổng mã chương trình để truy cập vào liệu tài nguyên máy tính bị lỗi bảo mật Các chương trình độc hại thiết kế đặc biệt để khai thác lỗ hổng này, gọi kỹ thuật exploit, ngày phổ biến nhanh chóng Những sản phẩm Microsoft thường gặp phải lỗ hổng bảo mật HĐH Windows, Internet Explorer, Windows Server, Microsoft Exchange NetFramework 1.3 Quá trình công vào hệ thống Trước tiên ta tìm hiểu tổng quát trình công hệ thống Mục tiêu phía trước hệ thống máy tính Các bước để công, đánh sập nó, liệt kê hình vẽ bên cạnh Nó gồm công đoạn sau: (hình 1.1: Quá trình công vào hệ thống) • Enumerate (Liệt kê): Trích tất thông tin user hệ thống Sử dụng phương pháp thăm dò SNMP để có thông tin hữu ích, • xác Crack(Bẻ khóa mật khẩu): Công đoạn có lẽ hấp dẫn nhiều Hacker Bước yêu cầu bẻ khóa mật đăng nhập user Hoặc cách • khác, mục tiêu phải đạt tới quyền truy cập vào hệ thống Escalste (Leo thang đặc quyền): Nói cho dễ hiểu chuyển đổi giới hạn truy cập từ user binh thường lên admin user có quyền cao đủ cho công • Execute (Thực thi chương trình): Thực thi ứng dụng hệ thống máy đích Chuẩn bị trước malware, keylogger, rootkit…để chạy máy tính công • Hide (Che dấu tập tin): Những file thực thi, file soucecode chạy chương trình… Cần phải làm ẩn đi, tránh bị mục tiêu phát tiêu diệt • Tracks (Xóa dấu vết): Tất nhiên để lại dấu vết Những thông tin có liên quan đến bạn cần phải bị xóa sạch, không để lại thứ Nếu không khả bạn bị phát kẻ đột nhập cao Tóm lại, trình công hệ thống (System hacking) bước sau trình khảo sát, thu thập thông tin mục tiêu cần công kỹ thuật Footprinting, Social engineering, Enumeration, Google Hacking… áp dụng cho mục đích truy tìm thông tin Khi hệ thống mục tiêu xác định, bắt đầu vào trình công hệ thống thật Ta phải tiến hành kỹ thuật khác để vào hệ thống đó, thực việc mà mong muốn, xóa liệu, chạy chương trình trojan, keylogger… CHƯƠNG 2: TÌM HIỂU VỀ TẤN CÔNG HỆ THỐNG (SYSTEM HACKING) 2.1 Liệt kê (Enumerate) Enumeration định nghĩa trình trích xuất thông tin có phần scan thành hệ thống có trật tự Những thông tin trích xuất bao gồm thứ có liên quan đến mục tiêu cần công, tên người dùng (user name), tên máy tính (host name), dịch vụ (service), tài nguyên chia (share) Enumeration bao gồm công đoạn kết nối đến hệ thống trực tiếp rút trích thông tin Mục đích kĩ thuật liệt kê xác định tài khoản người dùng tài khoản hệ thống có khả sử dụng vào việc hack mục tiêu Không cần thiết phải tìm tài khoản quản trị tăng tài khoản lên đến mức có đặc quyền phép truy cập vào nhiều tài khoản cấp trước Các kỹ thuật sử dụng liệt kê kể như: - Kỹ thuật Win2k Enumeration : dùng để trích xuất thông tin tài khoản người dùng - (user name) Kỹ thuật SNMP (Simple Network Management Protocol) để liệt kê thông tin người - dùng Kỹ thuật Active Directory Enumeration dùng liệt kê hệ thống Active Directory 2.1.1 Kĩ thuật liệt kê SNMP (Simple Network Management Protocol) SNMP “giao thức quản lý mạng đơn giản”, viết tắc “Simple Network Management Protocol” Thế giao thức quản lý mạng đơn giản ? Giao thức tập hợp thủ tục mà bên tham gia cần tuân theo để giao tiếp với Trong lĩnh vực thông tin, giao thức quy định cấu trúc, định dạng (format) dòng liệu trao đổi với quy định trình tự, thủ tục để trao đổi dòng liệu Nếu bên tham gia gửi liệu không định dạng không theo trình tự bên khác không hiểu từ chối trao đổi thông tin SNMP giao thức, có quy định riêng mà thành phần mạng phải tuân theo Một thiết bị hiểu hoạt động tuân theo giao thức SNMP gọi “có hỗ trợ SNMP” (SNMP supported) “tương thích SNMP” (SNMP compartible) SNMP dùng để quản lý, nghĩa theo dõi, lấy thông tin, thông báo, tác động để hệ thống hoạt động ý muốn VD số khả phần mềm SNMP: - Theo dõi tốc độ đường truyền router, biết tổng số byte truyền/nhận Lấy thông tin máy chủ có ổ cứng, ổ cứng trống Tự động nhận cảnh báo switch có port bị down Điều khiển tắt (shutdown) port switch 2.1.1.1 SNMP Enumeration Kĩ thuật SNMP Enumeration trình sử dụng SNMP để liệt kê tài khoản người dùng hệ thống mục tiêu Hầu hết tất thiết bị hạ tầng mạng, router,switch bao gồm hệ thống Windows, chứa đựng SNMP agent để quản lý hệ thống thiết bị Các trạm quản lý SNMP gửi yêu cầu tới agent agent trả lời lại.Các yêu cầu trả lời gửi đến biến truy cập cấu hình phần mềm agent Các trạm quản lý gửi yêu cầu để thiết lập giá trị cho biến định Các trạm quản lý nhận gói Trap từ agent để biết vài điều quan trọng vừa xẩy phần mềm agent có khởi động lại hay lỗi giao diện SNMP có hai password sử dụng để truy cập cấu hình SNMP agent từ trạm quản lý Cái gọi “read community string”, password cho phép bạn xem cấu hình thiết bị hệ thống Cái thứ hai gọi “read/write community string”, dùng để thay đổi hay chỉnh sức cấu hình thiết bị Nói chung, mặc định read community string public, read/write community string private Một lỗ hổng bảo mật phổ biến xảy community string không thay đổi so với thiết lập mặc định Một hacker sử dụng password mặc định để xem thay đổi cấu hình thiết bị 2.1.1.2 Công Cụ SNMPUtil Network Browser công cụ liệt kê SNMP SNMPUtil tập trung thông tin tài khoản người dùng qua SNMP hệ thống Windows Một vài thông tin bảng công việc hàng ngày,các bảng ARP,địa IP,địa MAC, cổng mở TCP UDP, tài khoản người dùng phần chia bị đọc từ hệ thống Windows nơi SNMP cho phép sử dụng công cụ SNMPUtil IPNetworkBrowser từ công cụ SolarWinds sử dụng SNMP để thu thập thêm thông tin thiết bị có SNMP agent 2.1.1.3 Đối phó với kỹ thuật liệt kê SNMP Cách đơn giản để ngăn chặn kỹ thuật liệt kê SNMP gỡ bỏ SNMP agent tắt dịch vụ SNMP Nếu không chọn tắt SNMP, thay đổi tên mặc định read read/write community Thực thi bảo mật “Group Policy” thêm điều kiện ngăn ngừa kết nối người dùng nặc danh 2.1.2 Kỹ thuật Active Directory Enumeration 2.1.2.1 Active Directory Active Directory sở liệu tài nguyên mạng (còn gọi đối tượng) thông tin liên quan đến đối tượng Tuy vậy, Active Directory khái niệm Novell sử dụng dịch vụ thư mục (directory service) nhiều năm Mặc dù Windows NT 4.0 hệ điều hành mạng tốt, hệ điều hành lại không thích hợp hệ thống mạng tầm cỡ xí nghiệp Đối với hệ thống mạng nhỏ, công cụ Network Neighborhood tiện dụng, dùng hệ thống mạng lớn, việc duyệt tìm kiếm mạng ác mộng (và tệ bạn xác tên máy in Server gì) Hơn nữa, để quản lý hệ thống mạng lớn vậy, bạn thường phải phân chia thành nhiều domain thiết lập mối quan hệ uỷ quyền thích hợp Active Directory giải vấn đề cung cấp mức độ ứng dụng cho môi trường xí nghiệp Lúc này, dịch vụ thư mục domain lưu trữ mười triệu đối tượng, đủ để phục vụ mười triệu người dùng domain 2.1.2.2 Chức Active Directory Lưu giữ danh sách tập trung tên tài khoản người dùng, mật tương ứng tài khoản máy tính Cung cấp Server đóng vai trò chứng thực (authentication server) Server quản lý đăng nhập (logon Server), Server gọi domain controller (máy điều khiển vùng) Duy trì bảng hướng dẫn bảng mục (index) giúp máy tính mạng dò tìm nhanh tài nguyên máy tính khác vùng Cho phép tạo tài khoản người dùng với mức độ quyền (rights) khác như: toàn quyền hệ thống mạng, có quyền backup liệu hay shutdown Server từ xa… Cho phép chia nhỏ miền thành miền (subdomain) hay đơn vị tổ chức OU (Organizational Unit) Sau ủy quyền cho quản trị viên phận quản lý phận nhỏ 2.1.2.3 Active Directory Enumeration Liệt kê AD có nghĩa truy vấn tìm kiếm thông tin có liên quan đến AD server Windows ứng dụng qua AD Những kỹ thuật tìm hiểu kỹ thuật liệt kê NTP, WEB, DNS, LDAP… 2.1.2.4 User Account Enumeration Có nghĩa liệt kê thông tin có liên quan đến user, username, phone, mail, first name, address…Những thông tin có liên quan bạn thực hình thức công khác Ví dụ bạn muốn dò tìm mật user nhớ quy tắc, user thường đặt mật có liên quan đến ngày sinh, số điện thoại, số nhà, số xe… 2.1.2.5 Công Cụ Sid2user User2sid hai công cụ dạng dòng lệnh giúp bạn liệt kê thông tin có liên đến user GetAcct chương trình dạng đồ họa, cho phép bạn tìm kiếm thông tin user hệ điều hành Win NT 2000 2.2 Bẻ khóa mật (Cracking passwords) 10 Ngoài ra, tương tác trực tiếp vào hệ thống hacker dùng công cụ samdump hay pwdump2 để xem thông tin tài khoản mật mã hóa, sau chuyển tập tin cho ứng dụng L0phtCrack xử lý Đây ví dụ mà có trình bày chương trình đào tạo an toàn thông tin cho tổng công ty VNPT, học viên sử dụng Metasploit để đột nhập vào hệ thống Windows Server 2003 bị lỗi, nạp dll có chứa công cụ pwdump để lấy thông tin mật chuyển đến cho chương trình LC (L0phtCrack 5, phiên vào lúc đó) để bẻ khóa mật 2.2.8 Tấn Công SMB Relay MITM Và Giải Pháp Phòng Chống Trong mô hình công SMB Relay MITM hacker đặt máy chủ SMB client hệ thống giả mạo với mục tiêu bắt giữ tất thông tin tài khoản người dùng giao dịch SMB, sau chuyển thông tin cho máy chủ thật nhằm bảo đảm cho trình truyền thông diễn bình thường, thực thông tin bị lấy cắp Cách công thường ứng dụng mạng xung đột (broadcast domain) sử dụng Hub để liên kết máy trạm, Đối với hệ thống mạng sử dụng thiết bị Switch hacker cần phải tiến hành trình đầu độc ARP (arp posioning) trước bắt giữ gói tin khác 18 Hình 2.3 – Mô hình công SMB Relay MITM Để phòng chống lại dạng công SMB Relay MITM cần cấu hình máy tính sử dụng SMB signing sách bảo mật (có thể cấu hình máy mục Security Policies/Security Options hay cấu hình sách vùng domain controller áp đặt cho máy tính thuộc vùng)  Các Công Cụ Tấn Công MITM Thông Dụng Có nhiều công cụ công MITM có chức đầu độc ARP arpspoof, dfsniff, ettercap Trong đó, ettercap ứng dụng mạnh mẽ mệnh danh “vua mạng tokenring” với biệt hiệu Lord Of The TokenRing lấy theo tựa đề phim chúa nhẫn • NetBIOS DoS Attacks Dạng công NetBISO Denial of Service (DoS) gởi thông điệp NetBIOS Name Release đến máy chủ NetBIOS Name Service máy chủ WINS hệ thống Windows nạn nhân ép hệ thống mục tiêu tình trạng xung đột tên Điều ngăn chặn không cho phép máy tính client liên hệ kết nối đến máy chủ thông qua tên NetBIOS, gây nên tình trạng từ chối dịch vụ hệ thống mạng Công cụ công dạng NBName vô hiệu hóa toàn hệ thống mạng LAN, ngăn không cho máy tính gia nhập mạng máy trạm hệ thống sử dụng NetBISO cho có máy tính khác sử dụng tên 2.2.9 Phòng Chống Bị Bẻ Khóa Mật Khẩu 2.2.9.1.Đặt mật mã hóa cao Để ngăn ngừa bị bẻ khóa mật cần áp đặt sách mật mạnh có độ dài kí tự, với kết hợp nhiều dạng kí tự khác gồm kí tự đặc biệt, chữ hoa, chữa thường số làm cho trình công dò từ điển hay brute-force trở nên khó khăn Bên cạnh đó, quản trị mạng nên ứng dụng Syskey Windows, chức bảo vệ mã hóa mật nâng cao phòng chống tốt công cụ L0phtCrack, Ron The Ripper 19 Để sử dụng Syskey bạn cần thực thi dòng lệnh Syskey cữa sổ dòng lệnh chọn Update (Encryption Enable) Hình 2.4 Hình 2.4 - Ứng dụng Syskey Sau số quy tắt đặt mật cần tuân theo để phòng chống bị bẻ khóa : Không sử dụng mật mặc định Không sử dụng mật đơn giãn bị tìm kiếm thông qua dò từ điển, mật password, abcdef, 123456 mật thống kê bị công nhiều Không sử dụng mật liên quan đến hostname, domain name hay thông tin mà hacker dễ dàng tìm kiếm qua Whois Không sử dụng mật liên quan đến thú cưng, ngày sinh bạn hay người yêu đối tượng mà hacker nghĩ đến dò mật bạn Sử dụng mật có độ dài 21 kí tự khiên cho hacker bẻ khóa cách dò từ điển 2.2.9.2 Thay Đổi Mật Khẩu Thường Xuyên 20 Thay đổi mật thường xuyên tiêu chí hàng đầu việc bảo vệ mật khẩu, thoe khuyến nghĩ sách an toàn thông tin ISO 27001 : 2005 nên thay đổi mật sau 24 ngày 48 ngày tùy vào nhu cầu tổ chức Mặc dù điều gây đôi chút bất tiện cho người dùng hạn chế nhiều khả hacker bẻ khóa mật tái sử dụng để truy cập bất hợp pháp vào hệ thống Việc thiết lập sách thực qua Group Policy Editor phần Security Setttings\Account Policies Hình 2.5 Hình 2.5 – Các sách bảo mật hệ thống Windows Hình họa vị trí sách dùng để thay đổi thời gian tồn mật Windows Đối với hệ thống Windows phiên khác bạn thực thông qua Local Group Policy Editor dễ dàng Tuy nhiên, để đạt hiệu cao bạn nên thiết lập sách chung cho toàn hệ thống thông qua Domain Controller 21 Mặc dù với phương pháp hoàn toàn ngăn ngừa bị công mật dạng brute-force hacker gây trở ngại lớn cho chúng siết chặt Security Policy (chính sách bảo mật) ví dụ đăng nhập sai mật lần bị khóa vòng 15 phút nãn chí kẻ công 2.2.9.3 Theo Dõi Event Viewer Log Trong vai trò quản trị hệ thống hay người phụ trách vấn đề an ninh mạng tổ chức bạn cần thường xuyên theo dõi tập tin nhật kí Event View, điều giúp phát hành động khả nghi xâm nhập trái phép hacker, có virus lây lan mạng cố gắng kết nối đến máy tính khác tên netbios mật mặc định Có nhiều công cụ giám sát Event Log chuyên dụng cho hệ thống máy chủ riêng biệt sản phẩm GFI (www.gfi.com) hay chương trình VisualLast (http://www.ntobjectives.com/) hỗ trợ quản trị mạng công việc phân tích log file thông qua báo cáo tình trạng đăng nhập tương đối rõ ràng Đối với chương trình chuyên dụng hệ thống có cố xảy có cảnh báo thích hợp mail, sms hay gọi điện thoại tự động đến cho quản trị viên Tập tin nhật kí lưu trữ c:\\windows\system32\config\ , cần lưu ý số tình tập tin rỗng bạn không hiệu lực chúng sách bảo mật thiết lập chúng mục Security Settings\ Local Policies 2.3 Leo Thang Đặc Quyền (Escalating privileges) Leo thang đặc quyền hay Escalating Privilege bước thứ ba chu trình Hacking System, leo thang đặc quyền có nghĩa thêm nhiều quyền cho phép tài khoản người dùng thêm quyền, leo thang đặc quyền làm cho tài khoản người dùng có quyền tài khoản quản trị Nói chung, tài khoản quản trị viên có yêu cầu mật nghiêm ngặt hơn, mật họ bảo vệ chặt chẽ Nếu tìm thấy tên người dùng mật tài khoản với quyền quản trị viên, hacker chọn sử dụng 22 tài khoản với quyền thấp Tại trường hợp này, hacker sau phải leo thang đặc quyền để có nhiều quyền quyền quản trị Cái thực cách nắm lấy quyền truy cập cách sử dụng tài khoản người dùng quản trị viên Thường cách thu thập tên người dùng mật thông qua bước trung gian để gia tăng đặc quyền tài khoản với mức độ quản trị viên Một hacker có tài khoản người dùng hợp lệ mật khẩu, bước để thực thi ứng dụng nói chung hacker cần phải có tài khoản có quyền truy cập cấp quản trị viên để cài đặt chương trình Đó lý leo thang đặc quyền quan trọng  Công Cụ Leo Thang Đặc Quyền • Getadmin.exe chương trình nhỏ thêm người dùng vào nhóm Local Administrator Một vài kernel NT cấp thấp, thường xuyên truy cập phép trình chạy Một đăng nhập vào giao diện điều khiển máy chủ cần thiết để thực chương trình Getadmin.exe chạy từ dòng lệnh • hoạt động Win NT 4.0 Service Pack Tiện ích HK.exe để lộ kẽ hở giao thức gọi hàm cục (Local Procedure Call) Windows NT Một người dùng người quản trì leo thang vào nhóm quản trị viên cách sử dụng công cụ 2.4 Thực Thi Ứng Dụng (excuting applications) Một hacker truy cập tài khoản với quyền quản trị, điều cần làm thực thi ứng dụng hệ thống đích Mục tiêu việc thực thi ứng dụng cài đặt cửa sau hệ thống, cài đặt keylogger để thu thập thông tin bí mật, chép tập tin, gây thiệt hại cho hệ thống, điều hacker muốn làm hệ thống Khi hacker thực thi ứng dụng, họ chiếm toàn quyền hệ thống hệ thống 23  Công Cụ • PsExec chương trình kết nối vào thực thi tập tin hệ thống từ xa Phần mềm không cần phải cài đặt hệ thống từ xa • Remoxec thực thi chương trình cách sử dụng dịch vụ RPC (Task Scheduler) WMI (Windows Management Instrumentation) Administrators với mật rỗng hay yếu khai thác thông qua lịch trình công việc (Task Scheduler - 1025/tcp) chế độ phân phối thành phần đối tượng (Distributed Component Object Mode; 135/tcp) 2.4.1 Buffer Overflow Hacker cố gắng khai thác lỗ hổng mã ứng dụng (Application) Về chất, công tràn đệm gửi nhiều thông tin cho biến ứng dụng, gây lỗi ứng dụng Hầu hết lần, ứng dụng hành động ghi đè liệu bị tràn Vì thực thi lệnh liệu bị tràn giảm dấu nhắc lệnh phép người dùng nhập lệnh Dấu nhắc lệnh (command prompt shell) chìa khóa cho hacker sử dụng để thực thi ứng dụng khác 2.4.2 Rootkit Rootkit loại chương trình thường sử dụng để che dấu tiện ích hệ thống bị xâm nhập Rootkit bao gồm gọi back doors, giúp cho kẻ công truy cập vào hệ thống dễ dàng lần sau Ví dụ, rootkit ẩn ứng dụng, ứng dụng sinh lệnh kết nối vào cổng mạng cụ thể hệ thống Back door cho phép trình bắt đầu người đặc quyên, dùng để thực chức thường dành cho quản trị viên Rootkit thường xuyên sử dụng phép lập trình viên rootkit xem truy cập vào tên người dùng thông tin đăng nhập trang site có yêu cầu họ Một Số Loại Rootkit Thường Gặp: 24 Kernel-level rootkit: Rootkit cấp độ Kernel thường thêm thay vài thành phần nhân hệ thống, thay mã sửa đổi để giúp che giấu chương trình hệ thống máy tính Điều thường thực cách thêm mã cho nhân hệ thống thông qua thiết bị ổ đĩa có khả nạp môđun, chẳng hạn kernel mô-đun nạp linux thiết bị điều khiển Microsoft Windows Rootkit đặc biệt nguy hiểm khó phát mà phần mềm phù hợp Library-level rootkit: Rootkit cấp độ thư viện thường chắp vá, sữa chữa, thay hệ thống Một số phiên giấu thông tin tùy theo mục đích hacker Application-level rootkits Rootkit cấp ứng dụng thay chương trình ứng dụng giống trojan độc hại, họ thay đổi hành vi ứng dụng có cách sử dụng móc (hook), vá lỗi (patch), mã độc hại (injected code), phương tiện khác  Triển khai Rootkits Windows 2000 & XP Trong hệ điều hành Window NT/2000 rookit xây dựng trình điều khiển chế độ kernel driver, tự động nạp chế độ runtime Rootkit chạy với đặc quyền hệ thống (system privileges ) NT Kernel Do đó, truy cập vào tất nguồn tài nguyên hệ điều hành Các rootkit ẩn quy trình, ẩn tập tin, ẩn mục đăng ký, tổ hợp phím tắt hệ thống, giao diện điều khiển, phát hành gián đoạn bước để gây hình màu xanh chết chốc (death) chuyển tập tin EXE Rootkit có chứa trình điều khiển hoạt động chế độ kernel (kernel mode device driver) có tên gọi _root_.sys khởi chạy chương trình có tên DEPLOY.EXE Sau đạt quyền truy cập vào hệ thống, chúng copy file -root-.sys DEPLOY.EXE thành nhiều file vào hệ thống thực thi file DEPLOY.EXE Sau cài đặt trình điều khiển thiết bị rootkit kẻ 25 công bắt đầu xóa DEPLOY.EXE từ máy tính mục tiêu Những kẻ công sau dừng lại khởi động lại rootkit cách sử dụng lệnh net stop _root_and _root_ tập tin _root_.sys không xuất danh sách thư mục Rootkit chặn không cho hệ thống gọi tập tin danh sách giấu tất file bắt đầu với _root_  Rootkit nhúng vào giao thức TCP/IP Một tính rootkit window NT/2000 hoạt động cách xác định tình trạng kết nối dựa liệu gói liệu đến (incoming) Rootkit có địa IP cố định mà trả lời Rootkit sử dụng kết nối Ethernet qua hệ thống card mạng, mạnh mẽ Một hacker kêt nối đến port hệ thống Ngoài ra, cho phép nhiều người đăng nhập lúc  Phòng chống Rootkit Tất rootkit truy cập hệ thống đích có quyền giống quản trị viên (administrator), đó, bảo mật mật quan trọng Nếu bạn phát rootkit, lời khuyên bạn nên lưu liệu quan trọng cài đặt lại hệ điều hành ứng dụng từ nguồn đáng tin cậy Các quản trị viên nên giữ sẵn nguồn đáng tin cậy để cài đặt phục hồi tự động Biện pháp đối phó khác sử dụng thuật toán mã hóa MD5, checksum MD5 tập tin giá trị 128-bit, giống dấu vân tay tập tin Thuật toán thiết kế để phát thay đổi, chút tập tin liệu, để kiểm tra nguyên nhân khác Thuật toán có tính hữu ích để so sánh tập tin đảm bảo tính toàn vẹn Một tính kiểm tra chiều dài cố định, kích thước tập tin nguồn Việc tổng kiểm tra MD5 đảm bảo file không thay đổi hữu ích việc kiểm tra tính toàn vẹn file rootkit tìm thấy hệ thống Các công cụ Tripwire thực để kiểm tra MD5, để xác định tập tin có bị ảnh hưởng rootkit hay không • Công Cụ Phòng Chống :Tripwire chương trình kiểm tra tính toàn vẹn hệ thống tập tin hệ điều hành Unix, Linux, thêm vào kiểm tra mật mã nhiều nội dung thư mục tập tin Tripwire có sở liệu chứa thông tin cho phép bạn xác minh, cho phép truy cập cài đặt chế độ tập tin, tên người dùng chủ sở hữu tập tin, ngày tháng thời gian tập tin truy cập lần cuối, sửa đổi cuối 2.4.4 Keylogger Phần Mềm Gián Điệp 26 Nếu tất nỗ lực để thu thập mật không thành công, keylogger công cụ lựa chọn cho hacker Được thực phần mềm cài đặt máy tính phần cứng gắn vào máy tính Keylogger phần mềm ẩn, ngồi phần cứng (bàn phím) hệ điều hành, để họ ghi lại phím tắt Keylogger phần mềm phá hoại hệ thống Trojans viruses Keylogger phần mềm gián điệp có dung lượng nhỏ, giúp kết nối bàn phím máy tính lưu tất thao tác phím vào file Hacker cài thêm tính tự động gửi nội dung file đến máy chủ hacker Đối vối kiểu keylogger cứng, có thiết bị, giống usb, gắn vào máy tính Quá trình thao tác phím ghi lại usb Để làm điều hacker phải có quyền truy cập vật lý vào hệ thống  Công Cụ Tấn Công • Spector phần mềm gián điệp ghi lại điều từ hệ thống • • • • mạng Internet, giống camera giám sát tự động Spector có hàng trăm ảnh chụp thứ hình máy tính lưu ảnh chụp vị trí ẩn ổ đĩa cứng hệ thống Spector phát loại bỏ bở phần mềm chống Spector eBlaster phần mềm gián điệp internet để chụp email gửi đến gửi đi, chuyển chúng đến địa email Eblaster chụp hai mặt hội thoại nhắn tin tức thời (Instant Messenger), thực tổ hợp phím đăng nhập trang web truy cập thường xuyên Spyanywhere công cụ cho phép bạn xem hoạt động hệ thống hành động người sử dụng, tắt/khởi động lại máy, khóa/đóng băng, trình duyệt gỡ bỏ tập tin hệ thống Spyanywhere cho phép bạn kiểm soát chương trình mở đóng cửa sổ hệ thống từ xa xem lịch sử internet thông tin liên quan Kkeylogger phần mềm gián điệp hiệu suất cao, trình điều khiển thiết bị ảo, chạy âm thầm mức thấp hệ điều hành Windows 95/98/ME Tất tổ hợp phím ghi lại tập tin Email keylogger phần mềm ghi lại tất email gửi nhận hệ thống Mục tiêu hacker xem người gửi, người nhận, chủ đề, thời gian/ngày… nội dung email file đính kèm ghi lại 2.5 Che dấu tập tin (Hiding files) 27 Một hacker muốn che dấu tập tin hệ thống, để ngăn chặn bị phát hiện, sau dùng để khởi động công khác hệ thống Có hai cách để ẩn tập tin Windows Đầu tiên sử dụng lệnh attrib Để ẩn tập tin với lệnh attrib, gõ sau dấu nhắc lệnh: attrib +h [file/directory] Cách thứ hai để ẩn tập tin Windows với luồng liệu xen kẽ NTFS (alternate data streaming - ADS) 2.5.1 NTFS File Streaming NTFS sử dụng Windows NT, 2000, 2003, 2008 hệ thống Windows XP, Windows có tính gọi ADS cho phép liệu lưu trữ tập tin liên kết ẩn cách bình thường, nhìn thấy tập tin Streams không giới hạn kích thước, stream liên kết đến file bình thường Để tạo kiểm tra NTFS file stream, ta thực bước sau:  Tại dòng lệnh, nhập vào notepad test.txt Đặt số liệu tập tin, lưu tập tin, đóng notepad Tại dòng lệnh, nhập dir test.txt lưu ý kích thước tập tin Tại dòng lệnh, nhập vào notepad test.txt:hidden.txt thay đổi số nội dung vào Notepad, lưu tập tin, đóng lại Kiểm tra kích thước tập tin lại (giống bước 3) Mở lại test.txt bạn nhìn thấy liệu ban đầu Nhập type test.txt:hidden.txt dòng lệnh thông báo lỗi hiển thị “The filename, directory name, or volume label syntax is incorrect.” Công Cụ Tấn Công : Makestrm.exe tiện ích chuyển liệu từ tập tin vào tập tin liên kết ADS thay liên kết với tập tin ban đầu  Phòng Chống NTFS File Streaming Để xóa stream file, copy đến phân vùng FAT, sau cpoy trởvào phân vùng NTFS Stream bị tập tin chuyển đến phân vùng FAT, có tính phân vùng NTFS tồn phân vùng NTFS • Công Cụ Phòng Chống :Bạn sử dụng LNS.exe để phát Stream LNS báo cáo tồn vị trí file chứa liệu stream 2.5.2 Steganography 28 Steganography trình giấu liệu loại liệu khác hình ảnh hay tập tin văn Các phương pháp phổ biến liệu ẩn tập tin sử dụng hình ảnh đồ họa nơi để cất giấu Kẻ công nhúng thông tin tập tin hình ảnh cách sử dụng steganography Các hacker ẩn dẫn thực bom, số bí mật tài khoản ngân hàng Hành động ẩn hình ảnh  Công Cụ Tấn Công • Imagehide chương trình steganography, giấu số lượng lớn văn hình ảnh Ngay sau thêm liệu,vẫn gia tăng kích thước hình ảnh, hình ảnh trông giống chương trình đồ họa bình thường Nó nạp lưu tập tin tránh nghe • Blindside ứng dụng steganography mà giấu thông tin bên ảnh BMP • (bitmap) Đó tiện ích dòng lệnh MP3stego giấu thông tin file mp3 trình nén Dữ liệu nén, mã hóa, chúng ẩn dòng bit MP3 • Snow chương trình whitespace steganography có nghĩa che giấu thông điệp ASCII text, cách phụ thêm khoảng trắng cuối file Vì spaces and tabs nhìn thấy người xem văn Nếu sử dụng thuật • toán mã hóa, tin nhắn đọc bị phát Camera/shy làm việc với Window trình duyệt Internet Explorer, cho phép người dùng chia sẻ tìm kiểm thông tin nhạy cảm lưu giữ hình ảnh GIF thường • Stealth công cụ lọc, cho tập tin PGP Nó loại bỏ thông tin nhận dạng từ tiêu đề, sau tập tin sử dụng cho steganography  Chống lại Steganography Steganography phát số chương trình, làm khó khăn Bướcđầu tiên việc phát để xác định vị trí tập tin với văn ẩn, thực cách phân tích mẫu hình ảnh thay đổi bảng màu • Công Cụ Phòng Chống 29 - Stegdetect công cụ tự động để phát nội dung - steganographic hình ảnh Dskprobe công cụ đĩa CD cài đặt Windows 2000/2003 Dùng để quét đĩa cứng cấp độ thấp phát steganography 2.6 Xóa Dấu Vết (Clear Track) Một kẻ xâm nhập thành công, đạt quyền truy cập quản trị viên hệ thống, cố gắng để che dấu vết chúng để ngăn chặn bị phát Một hacker cố gắng để loại bỏ chứng hoạt động họ hệ thống, để ngăn ngừa truy tìm danh tính vị trí quan hacker Xóa thông báo lỗi kiện an ninh lưu lại, để tránh phát 2.6.1 Vô hiệu hóa Auditing Những việc làm kẻ xâm nhập sau giành quyền quản trị vô hiệu hóa auditing Auditing Windows ghi lại tất kiện định Windows Event Viewer Sự kiện bao gồm đăng nhập vào hệ thống, ứng dụng, kiện Một quản trị viên chọn mức độ ghi nhật ký hệ thống Hacker cần xác định mức độ ghi nhật ký để xem liệu họ cần làm để xóa dấu vết hệ thống  Công Cụ Tấn Công : auditPol công cụ có Win NT dành cho quản trị tài nguyên hệ thống Công cụ vô hiệu hóa kích hoạt tính kiểm toán từ cửa sổ dòng lệnh Nó sử dụng để xác định mức độ ghi nhật ký thực quản trị viên hệ thống 2.6.2 Xóa Nhật Ký Sự Kiện Những kẻ xâm nhập dễ dàng xóa bỏ ghi bảo mật Windows Event Viewer Một ghi kiện có chứa một vài kiện đáng ngờ thường cho thấy kiện khác bị xóa Vẫn cần thiết để xóa ghi kiện sau tắt Auditing, sử dụng công cụ AuditPol kiện ghi nhận việc tắt tính Auditing 30  Công Cụ Tấn Công : Một số công dụ để xóa ghi kiện, hacker thực tay Windows Event Viewer • Tiện ích elsave.exe công cụ đơn giản để xóa ghi kiện • Winzapper công cụ mà kẻ công sử dụng để xóa ghi kiện, chọn lọc từ cửa sổ đăng nhập bảo mật năm 2000 Winzapper đảm bảo kiện bảo mật lưu lại chương trình chạy • Evidence Eliminator trình xóa liệu máy tính Windows Nó ngăn ngừa không cho liệu trở thành file ẩn vĩnh viễn hệ thống Nó làm thùng rác, nhớ cache internet, hệ thống tập tin, thư mục temp… Evidence Eliminator hacker sử dụng để loại bỏ chứng từ hệ thống sau công CHƯƠNG : TỔNG KẾT Hiểu tầm quan trọng bảo mật mật Thực thay đổi mật khoảng thời gian đó, mật mạnh, biện pháp bảo mật khác quan trọng an ninh mạng Biết loại công mật khác Passive online bao gồm sniffing, man-in-themiddle, replay Active online bao gồm đoán mật tự động Offline attacks bao gồm dictionary, hybrid, brute force Nonelectronic bao gồm surfing, keyboard sniffing, social engineering Biết làm để có chứng activite hacking loại bỏ kẻ công Xoá ghi kiện vô hiệu hoá phương pháp kiểm tra kẻ công sử dụng để che dấu vết chúng 31 Nhận tập tin ẩn phương tiện sử dụng để lấy thông tin nhạy cảm Steganography, NTFS File, lệnh attrib cách tin tặc ẩn ăn cắp tập tin TÀI LIỆU THAM KHẢO http://nhatnghe.com http://vnpro.org http://msopenlab.com http://quantrimang.com http://technet.microsoft.com http://windowsecurity.com 32